Добрый день, у меня такая задача, называется аудит доступа к

журналу событий, ну то есть практически - если кто то задумает в event viwer очистить журнал Security, то чтобы записалось кто это сделал и когда

я правильно понимаю, что мне надо лезть в свойства файла какого нибуть C:\Windows\System32\winevt\Logs\Security.evtx, и там включать его аудит?
и что там надо нащелкать все галочки чтобы писались все события по этому файлу?
и куда это запишется, если журнал Security всё же удалят? )

не ответ на твой вопрос, но по последнему пункту - если кто-то удалит логи на твоём хосте, значит у него уже есть достаточные права на модификацию всего локального. Поэтому тут стоить думать в первую очередь про отправку логов на другой сервер

Вроде есть отдельное событие для этого

его надо включать где то отдельно, или по умолчанию запись работает ?

Сам по себе аудит такой бесполезен, ибо хакеры при горизонтальном перемещении юзают краденные учетки админов. Лучше не фиксировать факт очистки журнала, а сделать такую очистку бесполезной. Например, можно делать бэкапы журналов или же сами события форвардить на SIEM.

это в планах на будущее, в том числе закупка SIEM, пока вот такая задача

Тогда попробуйте на своей машине очистить журнал и посмотрите отлогировалось ли событие. Также проверьте, чтобы журналировалось достаточное количество событий, ибо я встречал такое, что из-за переполнения журнала сохранялись события лишь за последние 4 часа. В этом случае хакеру ничего делать и не нужно 😊

в проекте есть и увеличение размера журнала, да